網(wǎng)絡(luò)安全滲透概述

滲透的本質(zhì)是一個不斷提高其權(quán)限的過程。黑客可以通過提高目標(biāo)系統(tǒng)的權(quán)限獲得更多關(guān)于目標(biāo)系統(tǒng)的敏感信息，我們也可以通過滲透評估目標(biāo)系統(tǒng)的信息安全風(fēng)險。滲透較重要的環(huán)節(jié)是目標(biāo)系統(tǒng)Web應(yīng)用程序進行滲透試驗，找出Web因此，滲透試驗是應(yīng)用的安全漏洞Web安全防護的第一步也是進一步深度防御的敲門磚。

1、滲透概念

什么是滲透？滲透英文名稱penetration test，簡稱為pentest。滲透沒有標(biāo)準的定義一些安全組織達成共識的一般說法是，滲透是指模擬攻擊者入侵以評估計算機系統(tǒng)安全的行為，這是一種授權(quán)行為。該過程包括積極分析系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞，這是從攻擊者可能存在的位置進行的，并有條件積極利用該位置的安全漏洞。換句話說，滲透是指滲透人員在不同位置（如內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)等位置）使用各種方法特定網(wǎng)絡(luò)，發(fā)現(xiàn)和挖掘系統(tǒng)中的漏洞，然后輸出滲透報告并提交給網(wǎng)絡(luò)所有者。根據(jù)滲透人員提供的滲透報告，網(wǎng)絡(luò)所有者可以清楚地了解系統(tǒng)中存在的安全風(fēng)險和問題。滲透還具有兩個明顯的特點：滲透是一個漸進、逐步深入、持續(xù)改進權(quán)限的過程；滲透的選擇不影響業(yè)務(wù)系統(tǒng)的正常運行。想象一下：實時更新網(wǎng)絡(luò)安全策略。也做好了相關(guān)的網(wǎng)絡(luò)安全加固，部署了相關(guān)的安全產(chǎn)品，確保所有的安全問題都得到了解決。為什么進行滲透？因為滲透可以獨立檢測你的網(wǎng)絡(luò)的安全風(fēng)險和問題，換句話說，它為你的系統(tǒng)安裝了一雙金眼睛！

2、滲透試驗過程

滲透一般分為黑盒和白盒，在大多數(shù)情況下是黑盒。滲透過程一般分為信息收集、制定滲透計劃和實施、積累目標(biāo)信息、分析信息、進一步攻擊、獲取目標(biāo)系統(tǒng)權(quán)限、提高目標(biāo)系統(tǒng)權(quán)限、進入內(nèi)部網(wǎng)絡(luò)、域控滲透、控制整個內(nèi)部網(wǎng)絡(luò)、對目標(biāo)提出安全建議。這是一些滲透過程，每一步都是決定是否繼續(xù)滲透的關(guān)鍵。

3、滲透思路

我們以“以攻促防”的思想為前提，大致敘述下滲透的思路。我們敘述它的主要目的是讓大家學(xué)會從攻擊者的角度促進網(wǎng)絡(luò)安全的防御，這樣，大家才能夠真正地意識到網(wǎng)絡(luò)攻擊的危害性，能夠更好地保護自己的網(wǎng)絡(luò)和保護自己的網(wǎng)絡(luò)中的重要資產(chǎn)信息。以下是在平時進行滲透的時候，習(xí)慣使用的一些滲透思路，這些思路可幫助滲透工程師迅速找到突破口